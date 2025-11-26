Подача уведомления об обработке персональных данных (ПДн) может понадобиться практически всем операторам: организациям, физлицам, самозанятым, ИП. Сложности нередко возникают уже на этапе заполнения. Мы расскажем, какие сведения вносятся в каждом разделе, как подать уведомление и что будет, если этого не сделать.

Сервис аренды техники оформляет договоры аренды в электронном виде и хранит паспорта клиентов в облачном хранилище — нужно уведомление, потому данные обрабатываются автоматизированными системами.

Онлайн-школа принимает оплату курсов через сайт и получает от учеников ФИО и e-mail.

Юридическая компания собирает заявки с сайта на консультации, сохраняет их в CRM и потом перезванивает клиентам. Это уже автоматизированная обработка ПДн, уведомление обязательно.

Теперь рассмотрим на примерах, когда нужно подавать уведомление в Роскомнадзор:

Чтобы зарегистрироваться в реестре операторов, нужно подать уведомление в РКН . Это обязаны делать почти все операторы, за некоторыми исключениями (ст. 22 ФЗ от 27.07.2006 №152-ФЗ):

Кто обязан подавать уведомление в Роскомнадзор об обработке персональных данных

Как заполнить уведомление в Роскомнадзор: полезные советы

Сведения об операторе

Здесь надо заполнить несколько полей: Тип оператора: юридическое лицо, ИП, физлицо, государственный, муниципальный орган или иностранный гражданин. Выберите подходящий вариант. Наименование оператора: укажите полное название. Оно должно совпадать с данными из выписки ЕГРЮЛ или ЕГРИП. Сокращенное наименование. Указывается лишь в том случае, если оно есть. Регионы обработки: выберите субъекты РФ, на территории которых обрабатываются данные. Адрес оператора: впишите почтовый адрес согласно ЕГРЮЛ/ЕГРИП, а также адрес фактического местонахождения. Если адреса совпадают, поставьте галочку. Адрес электронной почты, ИНН, ОГРН — обязательные поля. Дополнительно лучше указать и номер телефона для связи, а также ОКВЭД, ОКПО, ОКФС, ОКОГУ, ОКОПФ, но это по желанию. Филиалы: укажите наименования и адреса, если у вас есть обособленные подразделения без выделения отдельного ИНН. Важно! Если у компании несколько филиалов, впишите сведения о них через кнопку «Добавить».

Цели обработки персональных данных

Здесь подразумеваются цели, для которых вы планируете собирать и обрабатывать ПДн. Например, ведение кадрового и бухгалтерского учета; соблюдение трудового, налогового и пенсионного законодательства — это обязательно для всех юридических лиц, у которых есть сотрудники. Какие еще могут быть цели: обеспечение соблюдения законодательства в сфере здравоохранения;

проведение исследовательских работ;

добровольное медицинское страхование;

продвижение товаров, работ и услуг на рынке;

осуществление адвокатской деятельности;

иные цели, предусмотренные законодательством и формой уведомления. Пример: у вас ООО, компания занимается предоставлением услуг, есть сотрудники. Вы планируете продвигать их и на рынке — отправлять маркетинговые рассылки. Значит, нужно указать в уведомлении в Роскомнадзор цели: ведение кадрового и бухгалтерского учета; продвижение товаров, работ и услуг на рынке, обеспечение соблюдения трудового законодательства; подготовка, заключение и исполнение гражданско-правового договора; соблюдение налогового и пенсионного законодательства.

Категории ПДн

Все категории ПДн должны соответствовать целям обработки. Например, если вы обрабатываете данные в рамках трудового законодательства, к таким данным относятся, в частности: ФИО;

данные документа, удостоверяющего личность;

номер телефона;

СНИЛС и ИНН;

реквизиты банковской карты;

сведения об образовании и т.д. Если предложенный в форме уведомления стандартный перечень категорий не охватывает все виды персональных данных, обрабатываемых вашей организацией, необходимо воспользоваться пунктом «Иные персональные данные». Активировав его, в соответствующем текстовом поле следует детально конкретизировать все недостающие категории.

Категории субъектов ПДн

Сведения в этом разделе должны соответствовать целям обработки и категориям обрабатываемых данных. Например, вы не можете в качестве цели указать «ведение кадрового и бухгалтерского учета», а из списка субъектов выбрать клиентов или посетителей сайта — они никакого отношения не имеют к бухучету, вы не можете обрабатывать их ПДн и для кадровых целей. Подготовка документов для работы с персональными данными 2025 для организаций Консультация

Правовое основание обработки

Самое распространенное основание — согласие субъекта ПДн на обработку. Но могут быть и другие основания, когда согласие не требуется (ст. 6 ФЗ № 152-ФЗ): Обработка нужна для достижения целей, предусмотренных российским законодательством. Данные обрабатываются в связи с участием субъекта в судопроизводстве. Обработка нужна для исполнения судебного акта, акта иного органа или должностного лица. ПДн обрабатываются для исполнения договора,выгодоприобретателем которого является субъект, либо договор заключен по инициативе субъекта. Иные основания, предусмотренные ст.6 ФЗ №152-ФЗ и формой уведомления.

Перечень действий с данными

Здесь укажите, что конкретно вы планируете делать с ПДн: собирать, записывать, систематизировать, хранить, извлекать, накапливать, обезличивать, передавать, распространять, блокировать, уничтожать или совершать иные действия.

Способы обработки

Выберите подходящий вариант: Автоматизированная обработка. Осуществляется с использованием средств вычислительной техники (программ, серверов). Примеры: ведение базы клиентов в CRM-системе, расчет заработной платы в бухгалтерской программе или хранение сканированных копий документов на электронном носителе. Неавтоматизированная обработка. Предполагает работу исключительно с физическими носителями без использования компьютеров и другой техники. Классический пример — это бумажные личные дела сотрудников, хранящиеся в сейфах. Смешанная обработка. Является наиболее распространенным сценарием, при котором данные одновременно обрабатываются и в электронном, и в бумажном виде. Например, когда оригинал трудового договора хранится в папке, а все сведения о выплатах и отпусках ведутся в цифровой системе. Также в этом разделе нужно выбрать другие пункты: С передачей по внутренней сети. Доступ к персональным данным предоставляется сотрудникам организации через ее локальную сеть. С передачей по сети Интернет. Данный пункт применяется при использовании облачных решений (SaaS, например, облачные CRM), при пересылке данных с использованием электронной почты (email) или их загрузке на порталы государственных и иных служб. Без передачи данных. Этот вариант актуален только в случае, если данные хранятся исключительно на автономном компьютере без возможности их передачи по каким-либо сетям.

Описание мер, предусмотренных ст.ст. 18.1. и 19 ФЗ №152-ФЗ

В этом разделе укажите класс информационной системы ПДн, а также организационные и технические меры, которые вы применяете для защиты. Например, «Установлен КПП для контроля доступа в рабочие зоны. Назначены конкретные сотрудники, у которых есть доступ к персональным данным. Бумажные документы хранятся в металлических шкафах в закрытых кабинетах. Доступ туда есть только у уполномоченных лиц. Электронные данные обрабатываются на рабочих станциях с ограниченным доступом, вход в системы защищен паролями и электронными ключами».

Использование шифровальных средств криптографической защиты

Если вы используете СКЗИ, укажите: Класс СКЗИ: КС1, КС2, КС3, КВ, КА.

Наименование, изготовители, серийные номера средств шифрования.

Ответственный за организацию обработки

Назначить ответственного нужно еще до заполнения уведомления. Им может быть штатный сотрудник или сторонняя организация. В первом случае указывается ФИО, адрес, номер телефона, адрес электронной почты. Если организацией обработки ПДн занимается аутсорсер, понадобится наименование компании, почтовый адрес, номера контактных телефонов, электронная почта. Важно! Если ИП подает уведомление в Роскомнадзор, ответственным автоматически считается он.

Дата начала обработки ПДн

Здесь необходимо указать дату регистрации бизнеса — ИП или юридического лица. Если вы не помните ее, посмотрите в выписке из ЕГРИП/ЕГРЮЛ. Ее можно заказать на сайте ФНС, она сформируется в течение 2–3 минут. Если вы зарегистрировали ИП или юрлицо, но какое-то время не вели деятельность, укажите фактическую дату начала обработки ПДн.

Сведения о местонахождении баз с данными граждан РФ

Укажите страну, адрес расположения центра обработки данных (ЦОД), есть ли собственный ЦОД (да или нет). Если компания хранит данные у себя, то нужно указать свой фактический адрес в качестве местонахождения базы данных. По этому адресу обычно находятся и шкафы с бумажными носителями, и серверы с электронными документами. Если своего ЦОДа нет, укажите тип организации, наименование, ОГРН, ИНН, организационно-правовую форму, страну местонахождения компании, которая отвечает за хранение данных.

Сведения об обеспечении безопасности ПДн